搜索
搜索

启动logstash的grok过滤器错误

debugcn 发表于 Dev
8
用户1191140

我有以下 logstash conf 文件

input {
  tcp {
    port => 12345
    codec => json
  }
}

filter {
  grok {
    break_on_match => true
    match => [
        "message", "%{TIMESTAMP_ISO8601:timestamp} (verbose|info|debug) (hostd|vpxa)",
    ]
    mutate {
      add_tag => "esxi_verbose"
    }
  }
}

if "esxi_verbose" in [tags] {
  drop{}
}

output {
      stdout { codec => rubydebug }
      elasticsearch { 
        hosts => ["localhost:9200"] 
        index => "logstash-%{+YYYY.MM.dd}"
      }
}

我试图删除任何冗长的、调试的、信息消息。当我启动 logstash 时出现错误

[2019-03-03T16:53:11,731][ERROR][logstash.agent] Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogStash::ConfigurationError", :message=>"Expected one of #, \", ', -, [, { at line 13, column 5 (byte 211) after filter {\n  grok {\n    break_on_match => true\n    match => [\n        \"message\", \"%{TIMESTAMP_ISO8601:timestamp} (verbose|info|debug) (hostd|vpxa)\",\n    "

有人可以帮助我我做错了什么。

Opster Elasticsearch 专家

您在配置中有 3 个问题:

  1. grok 消息行的末尾有一个逗号,这是多余的
  2. mutate 在 grok 过滤器内,但它应该在它之后
  3. 'if' 语句应该在 'filter' 部分内。

这是更新后的工作配置:

input {
  tcp {
    port => 12345
    codec => json
  }
}

filter {
  grok {
    break_on_match => true
    match => [
        "message", "%{TIMESTAMP_ISO8601:timestamp} (verbose|info|debug) (hostd|vpxa)"
    ]
  }

  mutate {
    add_tag => "esxi_verbose"
  }

  if "esxi_verbose" in [tags] {
    drop{}
  }

}

output {
      stdout { codec => rubydebug }
      elasticsearch {
        hosts => ["localhost:9200"]
        index => "logstash-%{+YYYY.MM.dd}"
      }
}

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

Logstash grok 过滤器错误“_grokparsefailure”

来自分类Dev

logstash未能匹配grok过滤器

来自分类Dev

适用于uwsgi日志的Logstash Grok过滤器

来自分类Dev

Logstash grok过滤器-动态命名字段

来自分类Dev

如何在logstash中基于grok创建过滤器

来自分类Dev

Logstash grok过滤器标记接收和退回的邮件

来自分类Dev

Logstash Grok过滤器正则表达式

来自分类Dev

在logstash上使用grok过滤器解析数据

来自分类Dev

添加grep过滤器时Logstash无法启动

来自分类Dev

Logstash“已用”过滤器-两次“启动”事件

来自分类Dev

此log4j日志的logstash grok过滤器应该是什么?

来自分类Dev

Logstash grok过滤器不适用于最后一个字段

来自分类Dev

使用字段作为Logstash Grok过滤器模式的输入

来自分类Dev

在充分使用之前调试新的Logstash Grok过滤器

来自分类Dev

我有一个关于Logstash Grok过滤器的问题

来自分类Dev

用于在Quarkus日志中进行Opentracing的Logstash Grok过滤器

来自分类Dev

logstash grok过滤器,用于具有任意属性值对的日志

来自分类Dev

Logstash,grok过滤器不适用于固定长度的字段

来自分类Dev

用于在 Logstash 中处理 log4j 日志模式的 grok 过滤器

来自分类Dev

从 logstash grok 过滤器中的消息中获取可选字段

来自分类Dev

logstash jruby过滤器返回错误数据

来自分类Dev

Logstash日期过滤器

来自分类Dev

让grok过滤器创建嵌套字段

来自分类Dev

链接logtash的grok过滤器模式

来自分类Dev

事件的Logstash下降过滤器

来自分类Dev

logstash json过滤器源

来自分类Dev

Logstash中缺少grep过滤器

来自分类Dev

Logstash日期过滤器配置

来自分类Dev

事件的Logstash删除过滤器

Related 相关文章

  1. 1

    Logstash grok 过滤器错误“_grokparsefailure”

  2. 2

    logstash未能匹配grok过滤器

  3. 3

    适用于uwsgi日志的Logstash Grok过滤器

  4. 4

    Logstash grok过滤器-动态命名字段

  5. 5

    如何在logstash中基于grok创建过滤器

  6. 6

    Logstash grok过滤器标记接收和退回的邮件

  7. 7

    Logstash Grok过滤器正则表达式

  8. 8

    在logstash上使用grok过滤器解析数据

  9. 9

    添加grep过滤器时Logstash无法启动

  10. 10

    Logstash“已用”过滤器-两次“启动”事件

  11. 11

    此log4j日志的logstash grok过滤器应该是什么?

  12. 12

    Logstash grok过滤器不适用于最后一个字段

  13. 13

    使用字段作为Logstash Grok过滤器模式的输入

  14. 14

    在充分使用之前调试新的Logstash Grok过滤器

  15. 15

    我有一个关于Logstash Grok过滤器的问题

  16. 16

    用于在Quarkus日志中进行Opentracing的Logstash Grok过滤器

  17. 17

    logstash grok过滤器,用于具有任意属性值对的日志

  18. 18

    Logstash,grok过滤器不适用于固定长度的字段

  19. 19

    用于在 Logstash 中处理 log4j 日志模式的 grok 过滤器

  20. 20

    从 logstash grok 过滤器中的消息中获取可选字段

  21. 21

    logstash jruby过滤器返回错误数据

  22. 22

    Logstash日期过滤器

  23. 23

    让grok过滤器创建嵌套字段

  24. 24

    链接logtash的grok过滤器模式

  25. 25

    事件的Logstash下降过滤器

  26. 26

    logstash json过滤器源

  27. 27

    Logstash中缺少grep过滤器

  28. 28

    Logstash日期过滤器配置

  29. 29

    事件的Logstash删除过滤器

热门标签

归档